Quelles mesures sont prises lorsque la sécurité des comptes utilisateurs d’une grande entreprise est menacée? La semaine dernière, une notification concernant une tentative de piratage a été émise sur le site officiel de support de Pokémon. Mais que s’est-il vraiment passé?
La notification en question a disparu depuis mardi. Un représentant de l’entreprise a clarifié que leurs systèmes n’avaient pas été compromis, mais plutôt que des tentatives de piratage à l’encontre de certains utilisateurs avaient été interceptées. Pourquoi ont-ils choisi d’agir de cette manière, et quelles mesures ont été prises pour protéger les comptes des utilisateurs?
« Il n’y a pas eu de violation, seulement des tentatives de piratage contre certains utilisateurs. »
En réponse, Daniel Benkwitt, porte-parole de la société Pokémon, a affirmé que seuls 0,1% des comptes visés par les hackers ont effectivement été compromis. La compagnie a déjà contraint les utilisateurs affectés à réinitialiser leurs mots de passe. Mais cette action est-elle suffisante pour garantir la sécurité des comptes?
La pratique décrite semble s’apparenter au « credential stuffing », une technique de piratage informatique utilisant des combinaisons nom d’utilisateur/mot de passe dérobées lors d’autres violations de données. Comment une entreprise d’une telle envergure peut-elle se prémunir contre de telles attaques?
Il est à noter que, contrairement à certaines de ses compétitrices, comme le montre l’exemple récent de 23andMe, la société Pokémon ne permet pas à ses utilisateurs d’activer la validation en deux étapes sur leurs comptes. Est-ce une lacune dans leur politique de sécurité?
Il devient donc évident que, dans un monde où les cyberattaques sont monnaie courante, et où la popularité d’une franchise comme Pokémon ne fait qu’augmenter le risque de ciblage par des hackers, les entreprises doivent adopter des mesures proactives pour protéger les données de leurs utilisateurs. Mais la question reste : est-ce suffisant?
Source : Techcrunch
